1、隨著人們安全意識的不斷增強，安全設備部署得越來越廣泛。安全管理員面臨應對安全設備產生的海量數(shù)據和誤報的嚴峻挑戰(zhàn)。本文提出一種新的方法(關聯(lián)引擎技術)有助于減輕這些根本問題給網絡安全檢測帶來的沖擊。 本文首先對安全管理中心(SecurityOperationCenter，簡稱SOC)概念進行闡述，說明安全管理中心的來源、意義、架構及其工作原理。其次，通過關聯(lián)引擎(CorrelationEngine)依托的環(huán)境，主要從關聯(lián)和風險兩個

2、方面詳細闡述作為安全管理中心之核心的關聯(lián)引擎技術。進而，以蠕蟲攻擊(Worm)和拒絕服務攻擊(DenialofService，簡稱DoS)為例，分析關聯(lián)引擎預警過程。最后，通過實驗驗證關聯(lián)引擎研究的理論意義和實用價值。 本文所做工作如下：(1)分析研究目前已投入商用的規(guī)則關聯(lián)、統(tǒng)計關聯(lián)和漏洞關聯(lián)，探討事件序列關聯(lián)算法和啟發(fā)式關聯(lián)算法。 (2)分析研究基于資產、威脅和漏洞的風險評估以及實時的風險可視，推演簡潔有效的基于資產

3、價值、安全事件優(yōu)先級和可靠性的風險計算公式。 (3)提出基于行為的關聯(lián)和基于安全策略的優(yōu)先級修正方法。行為關聯(lián)以正常行為模式為基準檢測異常行為。優(yōu)先級修正以系統(tǒng)安全策略為基準，對于不符合系統(tǒng)安全策略的行為賦予其一個比較高的優(yōu)先級。 (4)提出基于基線安全理論的統(tǒng)計關聯(lián)模型。該模型將基線安全理論應用于統(tǒng)計關聯(lián)，以設定的安全數(shù)據基線和閾值為基準，監(jiān)測網絡異常行為。 (5)以深圳華為技術有限公司綜合產品研發(fā)部的科研項目